Piratas informáticos propagan malware en archivos adjuntos de OneNote

Iniciado por Dragora, Enero 21, 2023, 06:21:33 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


Los atacantes ahora usan archivos adjuntos de OneNote en correos electrónicos de phishing que infectan a las víctimas con malware de acceso remoto que se puede usar para instalar más malware, robar contraseñas o incluso billeteras de criptomonedas.

Esto ocurre después de que los atacantes hayan estado distribuyendo malware en correos electrónicos utilizando archivos adjuntos maliciosos de Word y Excel que ejecutan macros para descargar e instalar malware durante años.

Sin embargo, en julio, Microsoft finalmente deshabilitó las macros de forma predeterminada en los documentos de Office, lo que hizo que este método no fuera confiable para distribuir malware.

Poco después, los actores de amenazas comenzaron a utilizar nuevos formatos de archivo, como imágenes ISO y archivos ZIP protegidos con contraseña. Estos formatos de archivo pronto se volvieron extremadamente comunes, con la ayuda de un error de Windows que permitía a los ISO eludir las advertencias de seguridad y la popular utilidad de archivo 7-Zip que no propagaba las marcas de marca de la web a los archivos extraídos de los archivos ZIP.

Sin embargo, tanto 7-Zip como Windows corrigieron recientemente estos errores que causaban que Windows mostrara alarmantes advertencias de seguridad cuando un usuario intentaba abrir archivos en archivos ISO y ZIP descargados.


Marca de la Web propagada a archivos dentro de una ISO
Fuente: BleepingComputer

Para no desanimarse, los actores de amenazas cambiaron rápidamente a usar un nuevo formato de archivo en sus archivos adjuntos de spam malicioso (malspam): archivos adjuntos de Microsoft OneNote.

Abusar de los archivos adjuntos de OneNote

Microsoft OneNote es una aplicación de cuaderno digital de escritorio que se puede descargar de forma gratuita y está incluida en Microsoft Office 2019 y Microsoft 365.

Como Microsoft OneNote se instala de manera predeterminada en todas las instalaciones de Microsoft Office/365, incluso si un usuario de Windows no usa la aplicación, todavía está disponible para abrir el formato de archivo.

Desde mediados de diciembre, los investigadores de ciberseguridad advirtieron que los actores de amenazas habían comenzado a distribuir correos electrónicos no deseados maliciosos que contenían archivos adjuntos de OneNote .

A partir de muestras encontradas por BleepingComputer, estos correos electrónicos maliciosos pretenden ser notificaciones de envío de DHL, facturas, formularios de envío de ACH, dibujos mecánicos y documentos de envío.


Correo electrónico falso de DHL con un archivo adjunto de OneNote
Fuente: BleepingComputer

A diferencia de Word y Excel, OneNote no admite macros, que es como los actores de amenazas lanzaban previamente scripts para instalar malware.

En cambio, OneNote permite a los usuarios insertar archivos adjuntos en un cuaderno que, al hacer doble clic, iniciará el archivo adjunto.

Los actores de amenazas abusan de esta función al adjuntar archivos adjuntos VBS maliciosos que inician automáticamente el script cuando se hace doble clic para descargar malware desde un sitio remoto e instalarlo.

Sin embargo, los archivos adjuntos se ven como el ícono de un archivo en OneNote, por lo que los actores de amenazas superponen una gran barra de 'Doble clic para ver el archivo' sobre los archivos adjuntos VBS insertados para ocultarlos.


Archivo adjunto de correo electrónico malicioso de OneNote
Fuente: BleepingComputer

Cuando mueve la barra Haga clic para ver documento fuera del camino, puede ver que el archivo adjunto malicioso incluye varios archivos adjuntos. Esta fila de archivos adjuntos hace que si un usuario hace doble clic en cualquier lugar de la barra, hará doble clic en el archivo adjunto para iniciarlo.


Archivos adjuntos ocultos de OneNote
Fuente: BleepingComputer

Afortunadamente, al iniciar los archivos adjuntos de OneNote, el programa le advierte que hacerlo puede dañar su computadora y sus datos.

Pero, lamentablemente, la historia nos ha demostrado que este tipo de avisos suelen ignorarse y los usuarios simplemente hacen clic en el botón Aceptar.


Advertencia de seguridad de archivos adjuntos de OneNote
Fuente: BleepingComputer

Al hacer clic en el botón Aceptar, se iniciará el script VBS para descargar e instalar malware. Como puede ver en uno de los archivos VBS maliciosos de OneNote encontrados por BleepingComputer, el script descargará y ejecutará dos archivos desde un servidor remoto.

El primero que se muestra a continuación es un documento señuelo de OneNote que se abre y se ve como el documento que esperaba. Sin embargo, el archivo VBS también ejecutará un archivo por lotes malicioso en segundo plano para instalar malware en el dispositivo.


Secuencia de comandos VB maliciosa adjunta a un archivo adjunto de OneNote
Fuente: BleepingComputer

En los correos electrónicos maliciosos vistos por BleepingComputer, los archivos de OneNote instalan troyanos de acceso remoto que incluyen funcionalidad para robar información.

El investigador de ciberseguridad James confirmó esto y le dijo a BleepingComputer que los archivos adjuntos de OneNote que analizó instalaron los troyanos de acceso remoto AsyncRAT y XWorm.


Un archivo adjunto de OneNote visto por BleepingComputer instala lo que se detecta como el troyano Quasar Remote Access.

Protección contra estas amenazas

Una vez instalado, este tipo de malware permite a los actores de amenazas acceder de forma remota al dispositivo de la víctima para robar archivos, guardar contraseñas del navegador, tomar capturas de pantalla y, en algunos casos, incluso grabar videos usando cámaras web.

Los actores de amenazas también suelen usar troyanos de acceso remoto para robar billeteras de criptomonedas de los dispositivos de las víctimas, lo que hace que esta sea una infección costosa.

La mejor manera de protegerse de los archivos adjuntos maliciosos es simplemente no abrir archivos de personas que no conoce. Sin embargo, si abre un archivo por error, no ignore las advertencias que muestra el sistema operativo o la aplicación.

Si ve una advertencia de que abrir un archivo adjunto o enlace podría dañar su computadora o sus archivos, simplemente no presione Aceptar y cierre la aplicación.

Si cree que puede ser un correo electrónico legítimo, compártalo con un administrador de seguridad o de Windows para que lo ayude a verificar si el archivo es seguro.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta